导读:
最近Mandiant公司在The Intelligence and National Security Alliance (INSA)和Carnegie Mellon University(CMU)研究的基础上发布一个《网络威胁情报分析师核心能力框架》(The Mandiant Cyber Threat Intelligence (CTI) Analyst Core Competencies Framework),该框架将情报分析师个人能力分为四大支柱:解决问题(problem solving)、专业效能(professional effectiveness)、技术素养(technical literacy)和熟练掌握网络威胁(cyber threat proficiency)。
作为《网络威胁情报分析师核心能力框架》的外部审核专家之一的Red Canary公司的情报总监Katie Nickels其情报团队最近发表了一篇关于“威胁情报分析师核心技能之一:沟通”的文章,笔者编译如下:
以红金丝雀(Red Canary)情报团队为例
Red Canary情报团队的成员拥有各种技能,可以创造一个全面的环境来进行高质量的分析。将团队限制在传统的“技术”技能范围内会缩小思维范围,并且不允许采用不同的方法来思考问题。多样化的观点在制定情报评估中时尤为重要,因为它们可以帮助分析师避免像群体思维这样的认知偏见。许多情报团队成员拥有不同的背景,这使他们能够清楚地了解自己想要如何塑造自己的职业生涯,激励他们追求更高的学位并精通各自的网络安全职能。
Stef Rand,情报分析师,心理学背景
Stef Rand是一名具有心理学背景的情报分析师。Stef之所以对网络威胁情报(CTI)感兴趣,是因为她采用系统化的方式进行研究。尽管她之前没有CTI的经验或培训,但她攻读了一个单独的IT学位,这使她在进入Red Canary之前在事件响应方面取得了成功。
“心理学给了你这样的想法,行为可以通过不同的模式进行分类。在治疗环境中,你有DSM。威胁情报模型也是类似的。你寻找证据,对其进行分类,然后给它一个共同的框架。” -Stef Rand
Stef明白CTI只是一种不同的研究。她敦促自己注意个人偏见以保持中立,并遵循她在学习心理学时学到的研究最佳实践,以确保她遵循逻辑而不贸然下结论。就像在心理学中一样,她在编写情报报告时会注意自己选择的词语,以提炼出可以用来创建可操作的东西的基本信息。
Lauren Podber,首席情报分析师,历史背景
Lauren Podber是具有历史和舞蹈背景的首席情报分析师。Podber从事专业舞蹈多年,然后在大学和研究生院攻读伊朗语言和历史学位,在那里她对网络安全产生了兴趣。她最初是一名专注于战略情报的开源分析师,然后在她的职业生涯中更加注重运营。在Red Canary,Podber的研究更具战略性,她利用从学位中学到的批判性思维技能提出正确的问题并找到正确的答案。
“计算机不会攻击人。人们正在攻击使用计算机的人。了解计算机的工作方式很有用,但了解能力和可能的结果是更多以人为中心的问题。” - Lauren Podber
Lauren受到好奇心的驱使,并有意识地尝试在自我意识循环中思考,以消除个人偏见。她还提倡初级分析师提出尖锐的问题,迫使更多的高级分析师以更清晰的方式解释他们的想法和逻辑,以增加分析的可见性。这有助于创建更好的情报产品,以帮助信息安全社区中的其他人了解我们在Red Canary进行研究时学到的知识。
为什么“沟通”技能很重要?
简单地说,情报是沟通和传播经过分析的信息,为决策提供依据。情报的种类很多,无论是由XX局或XX调查局这样的政府组织,还是由私人网络安全厂商进行。沟通技巧作为核心技能在任何情报组织中都是深入人心的,因为需要简单有效地传达复杂的信息。沟通技能往往被正在招聘的“技术”团队所忽视,但它们应该被视为任何网络安全角色的核心技能,因为从写作、简报和创造力中获得好处。
写作
如果发生了某事并且没有记录在案,它甚至发生过吗?不仅有能力,而且有才能,编写全面有效的情报报告是情报专业人员可以拥有的最有价值的技能之一,因为情报团队生产的许多最重要的产品都是书面的。想想从大量乏味的笔记到精巧的情报产品,进行和解释一项调查需要多少字。
写报告可能会引起一些只想回去狩猎的Threat Hunter的不满,但对于以前的英语、语言学和其他“非技术”专业的人来说,这是一个展示以前“技术”领域的特殊技能的绝佳机会。有效地报告事件的细节和范围,以及“为什么这很重要”或“为什么这不重要”的目标信息,使接收情报的决策者更容易采取行动。以简单的方式撰写复杂的信息是具有挑战性的,而“软技能”人员完全可以胜任这一角色。
有效地报告事件的详细信息,并有针对性地传达“为什么这很重要”或“为什么这不重要”这样的信息,可以让决策者更容易收到情报并采取行动。
简报
您有多少次与一位出色的安全分析师会面,他谈论一个令人兴奋的威胁,但很难说出这些话?这有点像“受折磨的艺术家”或“疯狂的科学家”的情况,信息和事实都在那里,但故事却没有。如果分析师不是优秀的简报者,即使是杰出的分析师也很难在职业生涯中取得成功。
能够在会议或C级会议上向听众传达想法对于推进晋升或获得更多决策责任至关重要。这伴随着大量的练习,以及更多的自我发现。在人们面前说话很难,尤其是一些晦涩难懂的事情,可能会引起高层管理人员的恐慌。成功的简报的目标是将情报用作决策的操作工具,而不是将其用作引起恐慌的麦克风掉落。对于希望产生影响的情报团队而言,能够在所有受众(从战术人员到执行人员)之间有效地传达信息并为每个受众量身定制一份简报是非常宝贵的。
如果分析师不是优秀的简报者,即使是杰出的分析师也很难在职业生涯中取得成功。
创造力
健康的创造力对于帮助团队客观地思考任何问题大有帮助。很难有创造力,激发创造力过程需要大量的准备和基础工作。情报产品的创造力可以通过讲故事、包含在报告中的图形、会议演示文稿等来体现。将创造力带入评估和头脑风暴可以使分析师摆脱陷入决策树循环的困境。不仅应该在进行评估时探索创造力,还应该在评估的呈现方式中探索创造力。情报更像是一门艺术,而不是一门科学,因为它是一个不断移动的目标,永远不会真正完成,可以用多种方式来解释。以孩子般的能力来质疑为什么,以及对图形故事讲述的亲和力,进行调查,将情报产品从单纯的记录事件提升为具有教育意义的热门和可共享内容。那里的创造力人员可能会面临来自同行和职位高于他们的人的强烈反对,因为“这不是我们在这里做的方式”,或者“这需要太多的工作”。不要听!在你的情报角色中保持创造性和怪异,它会得到回报。
情报更像是一门艺术,而不是一门科学,因为它是一个不断移动的目标,永远不会真正完成,可以用多种方式来解释。
采取行动
如果你有一天要为网络安全职位招聘,请考虑到有沟通能力的人。他们带来了丰富的知识,这在传统的网络安全角色中可能是非常规的。来自沟通专业人员的写作、简报和创意可以将一个团队加速到一个更专业的水平。当寻找候选人以使网络安全团队多样化时,请牢记以下几点。
- 寻找来自多种背景的人,组成一个避免群体思维和陈旧观念的团队。
- 为希望提高写作和简报技能的现有团队成员提供培训,以帮助他们的专业成长。
- 倾听并容忍有创意的想法,以磨练未开发的潜力。
饼干切割器对饼干有好处(Cookie cutters are good for cookies)
就像网络安全没有一个放之四海而皆准的方法一样,发展一个有效的团队需要多样性和各种技能组合。在网络安全团队中加入不同的技能组合,有助于他们因更多的想法、更好的沟通和新的视角而快速成熟。
对于那些被告知你有“软技能”的人来说,请继续努力,继续写作、简报和发挥创造力。你在一个帮助领导者做出艰难决定的空间里,增加了客观性和想象力。把饼干切割的团队留给饼干,而成为鳄梨酱,因为你是如此的多余。
原文链接:
https://redcanary.com/blog/strong-communicators/
往期精选
围观
热文
热文
原文始发于微信公众号(天御攻防实验室):威胁情报分析师核心技能之一:沟通
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论